SSL FILTRELEME (SQUID3-DEV // SQUIDGUARD-SQUID3)

hoscakal

Merhaba arkadaşlar,

Kurulumu tamamladığımızda ne gibi özellikler elde edeceğiz ve bunları nasıl kullanmamız gerektiği hakkında bilgiler vermeye çalışacağım. epey uzun bir yazı olacak şimdiden söyleyeyim

Öncelikle Tuzsuzdeli'ye yaptığı katkılardan dolayı teşekkürü borç bilirim.

Kurulum bittiğinde.

Squid ve SquidGuard ile ssl içerik filtreleme yapabileceğiz.
Https'li sitelere erişimi açıp kapatma
Youtube'da ssl filtreleme sayesinde youtube sitesi açılacak ancak videolar izlenemeyecek.
Traffic Shaper Layer 7 kullanarak https olmayan sitelerde video - radyo gibi içeriklerin engellenmesini sağlayacağız.
ayrıca squid acl ve squidguard acl'ler hakkında bilgi
Engellemek istediğiniz içeriği takip etmeyi ve squidguard'da kurallar yazarak nasıl engellenebileceği hakkında bilgiler vermeye çalışacağım.

Öncelikle gereksinimleri yazalım

Bu çalışmayı

Pfsense 2.1.5 sürümü ile gerçekleştirdim sürüme aşağıdaki linkten ulaşabilirsiniz.

https://www.pfsense.org/download/mirror.php?section=downloads

Kurduğum Paketler

Squid3-DEV
Squidguard-Squid3
System Patches

Pfsense 2.1.5'in kurulumu ile ilgili bir detay yok sadece normal bildiğiniz şekilde kurabilirsiniz.

Sırasıyla üstte yazdığım paketleri kuralım (kurulumlar bittiğinde squid-guard paketi çalışmayacaktır. bunun için ayrıca işlem yapacağız) ve…

Menü'den System - Cert Manager'a gelelim ve kendimize resimdeki gibi bir sertifika oluşturalım. (Bilgileri kendinize göre ayarlayabilirsiniz.)

Sertifikadan bahsetmişken SSL içerik filtreleme yapabilmek için Network'ümüzdeki cihazlara
bu sertifikayı kesinlikle kurmamız gerekiyor. yoksa ssl'li sayfalarda güvensiz uyarısı alırız.

Eğer active directory kullanıyorsanız policy ile bu sertifikayı client'lara rahatlıkla kurabilirsiniz.

Menü'den System - Patchs'e gelelim resimdeki gibi işlemleri gerçekleştirip kayıt edelim.
içeriğe yazmanız gereken kod aşağıdadır.

--- squidguard_configurator.inc.orig
+++ squidguard_configurator.inc
@@ -94,3 +94,3 @@
-define('REDIRECTOR_OPTIONS_REM',   '# squidGuard options');
-define('REDIRECTOR_PROGRAM_OPT',   'redirect_program');
-define('REDIRECT_BYPASS_OPT',      'redirector_bypass');
+define('REDIRECTOR_OPTIONS_REM',   '# squidGuard options');
+define('REDIRECTOR_PROGRAM_OPT',   'url_rewrite_program');
+define('REDIRECT_BYPASS_OPT',      'url_rewrite_bypass');
@@ -98,1 +98,1 @@
-define('REDIRECTOR_PROCESS_COUNT', '5'); # redirector processes count will started
+define('REDIRECTOR_PROCESS_COUNT', '16 startup=8 idle=4 concurrency=0'); # redirector processes count will started

bu işlem bittikten sonra

Test ve Apply'e basalım daha sonra squidguard'ı ve squid'i pasif hale getirip tekrar aktifleştirelim.

bu işlemleri yaptığımızda Squid'in içinde böyle bir kod gözükmesi lazım. eğer bu kod var ise işlemleri başarıyla yapmışsınız demektir.
services'lerden baktığınızda da squidguard'ın çalıştığını görebilirsiniz.

Sıra geldi squid'in ayarlarına. Resimlerdeki gibi ayarlayabilirsiniz
Ben local cache kısmı ile oynamadım siz ihtiyacınız olduğu gibi ayarlayabilirsiniz.
ACL kısmından'da kendi subnet'inize izin veriniz 192.168.1.0/24 gibi ve kaydediniz.

Sıra geldi squid-guard ayarlarına resimlerdeki gibi ayarlayıp kayıt edelim.
ve Common ACL'den Default access'i Allow yapalım.

Squid3-DEV ve Squidguard-Squid3 ile ilgili ayarlarımız bu kadar.

Client tarafında sertifika kurma işlemine geçelim öncelikle oluşturduğumuz sertifikayı bilgisayarımıza indirelim.

indirdiğimiz sertifikayı GÜVENİLEN KÖK SERTİFİKA YETKİLİLERİ bölümüne yükleyelim

sıra geldi engellemek istediğimiz içeriklere

burda 3 tane yol var
squid üzerinden acl oluşturursanız herkes etkilenir ve şu şu kişiler etkilenmesin diyemezsiniz.
squid guard üzerinden ayarlayacağınız acl'ler ise yönetilebilir şekildedir istediğimiz ip aralığını engelleyip istediğimi aralığı serbest bırakabiliriz

squid ve squidguard'in engelleme mekanizması url üzerinden çalışır bu url sadece tarayıcıya yazdığımız url'den ibaret değildir.
site içerisindeki her url'ye bakar.

bir de layer 7 engelleme methodumuz var şu an sadece http üzerinden engelleme yapabiliyor.
ssl olmayan bağlantılar için layer 7'nin kullanılması taraftarıyım

ben şuan youtube.com adresindeki videoları layer7 ile engelliyorum
ama https://youtube.com adresinden girince engelleyemiyordum. artık onu da squid sayesinde engelleyebiliriz.

önce layer 7'ye geçelim

Menü'den Firewall > Traffic Shaper > Layer 7 ye gelelim

Create new l7 rules group tıklayalım

Enable edelim

BlockStream adını verelim

Protocol + işaretine basalım ve

httpvideo
httpaudio

seçip kayıt edelim

bu kural'da bir regex vardır.

httpvideo
http/(0\.9|1\.0|1\.1)[\x09-\x0d ][1-5][0-9][0-9][\x09-\x0d -~]*(content-type: video)

httpaudio
http/(0\.9|1\.0|1\.1)[\x09-\x0d ][1-5][0-9][0-9][\x09-\x0d -~]*(content-type: audio)

layer 7 bu regex kuralına göre içerik yakalarsa engeller yakaladığı örnek aşağıdaki gibidir.

youtube sitesinden video stream ederken yakalanan içeriğin örneği

layer 7 bunu yakalayarak videonun yüklenmesine izin vermez.

bunun gibi her protokol için bir regex yazılıp layer 7 ile engelleme yapılabilir ama sadece http erişimlerinde ssl olmayan erişimlerde

squid ve squid guard ise dediğimiz gibi tarayıcıya yazılan ve site içindeki tüm url'lere bakarak engelleme yapar bunu kullanım yöntemimiz de şöyle olacak

aşağıda örnek youtube videosunun url'si gözüküyor

bu url'yi squid yakalar ve squidguard'da regular expression kısmına bu url'de geçen unique yani çok spesifik bir kelime yazarsanız bunu engeller örnek

mime=audio bu youtube'un bize yolladığı her video linkinin içinde olması gereken mecburi içerik

regular expression kısmına mime=audio yazarsak https://www.youtube.com dan gelen isteklerin içinden bunu yakalar ve engeller

o url içinde geçen başka spesifik bir sürü şey var mesela kendi ip'niz de yazar eğer ip'niz sabit ise bunuda yazabilirsiniz

78.188.188.250 bunu yazarsanız bunu yakalar ve buradan engeller böylece google aramasına

mime=audio (normalde kimse yazmaz ama olurda yazarsa) yazanlarında engellenmesinin önüne geçmiş oluruz.

https için squid'i http olan için ise layer 7 kullanarak istediğimiz protokol'ü engelleyebiliriz.

şunu da ekleyelim isterseniz squid üzerinden direkt domain list'e facebook.com youtube.com diyerek sitenin tamamen kapatabilirsiniz

şimdilik bu kadar herkese kolay gelsin

aydemir_07

Elinize sağlık. Çok yararlı bir döküman olmuş. Bu akşam denemeyi düşünüyorum. Sonucu buradan bildiririm.

hoscakal

geri dönüşleri bekliyorum olumlu olumsuz buradan yardım etmeye çalışırız.

susamlicubuk

Bu yöntem işe yarıyor uzun zamandır kullandığım yöntem
ama bazı problemleri var. sahte sertifikayı bazen devlet kurumları ve bazı google app leri kabul etmiyor squid den bypass etmek gerekiyor.
android cihazların bazılarında sertifika yüklenemiyor ve google chrome sorunu çıkabiliyor. skype,whatsapp,windows update için ayar yapmak gerekebiliyor. kullanıcı sayısı fazla ise biraz ram i yüksek tutmanız da fayda var.
zaman zaman tüm trafiğin kesilmesi gibi durumlar yaşanabilir. ilk başta marcello nun derlediği versiyon vardı shell komutları olmadan devreye alınamıyordu ama artık shell komutuna gerek kalmadan bu talimattaki yöntem çalışıyor.
ama en büyük artısı zenmate i tamamen blocklamış oluyorsunuz.
piyasada zenmate i blocklayabilen çok az cihaz var.

paylaşım için tebrikler.

Not: mikrotiğin 50$ lık en ucuz cihazı ile bile facebook youtube https layer7 block çalışmakta.
pfsense te çalışmaması hala tuhaf!!

hoscakal

@susamlicubuk:

Bu yöntem işe yarıyor uzun zamandır kullandığım yöntem
ama bazı problemleri var. sahte sertifikayı bazen devlet kurumları ve bazı google app leri kabul etmiyor squid den bypass etmek gerekiyor.
android cihazların bazılarında sertifika yüklenemiyor ve google chrome sorunu çıkabiliyor. skype,whatsapp,windows update için ayar yapmak gerekebiliyor. kullanıcı sayısı fazla ise biraz ram i yüksek tutmanız da fayda var.
zaman zaman tüm trafiğin kesilmesi gibi durumlar yaşanabilir. ilk başta marcello nun derlediği versiyon vardı shell komutları olmadan devreye alınamıyordu ama artık shell komutuna gerek kalmadan bu talimattaki yöntem çalışıyor.
ama en büyük artısı zenmate i tamamen blocklamış oluyorsunuz.
piyasada zenmate i blocklayabilen çok az cihaz var.

paylaşım için tebrikler.

Not: mikrotiğin 50$ lık en ucuz cihazı ile bile facebook youtube https layer7 block çalışmakta.
pfsense te çalışmaması hala tuhaf!!

Evet bahsettiğin sıkıntıları bende okudum ancak bunlar aşılabilecek şeyler olduğunu düşünüyorum.
Sahte sertifika yerine yıllık verisign comodo rapidssl den sertifika alıp bunu pfsense'ye import edip squid'in bu sertifikayı kullanmasını sağlarsak bu sorunların kalkacağını düşünüyorum

Squid de ssl filtrelemesinin hangi iç network'lere bakmasını istediğini seçebiliyorsunuz. ben mobil cihazların ve misafir cihazları farklı bir networkte toplayıp onlara layer 7 ve dns ile engeller koymayı düşünüyorum. bunlara çözüm üreterek ilerleyebiliriz bence

mikrotik'in $50 dolarlık cihazı layer 7 ssl filtrelemesi yapıyor dedin

mikrotik'in kullandığı sertifikayı clientlara import etmiyor musun? ya da nasıl çalışıyor… çalışıyorsa da sahte sertifika bahsettiğin yerlerde aynı sorunu çıkarmıyor mu ? merak ettim bunu.

traffic shaper'daki layer 7 pfsense'nin kendi protokolü ama squid ise ek bir paket biz ek paket ile ssl filtrelemesi yaptığımız için layer 7 https ye bakmıyor ama dediğin gibi pfsense'nin kendi başına başka paketlere ihtiyaç duymadan ssl filtrelemesi yapamaması çok kötü

susamlicubuk

Evet bahsettiğin sıkıntıları bende okudum ancak bunlar aşılabilecek şeyler olduğunu düşünüyorum.
Sahte sertifika yerine yıllık verisign comodo rapidssl den sertifika alıp bunu pfsense'ye import edip squid'in bu sertifikayı kullanmasını sağlarsak bu sorunların kalkacağını düşünüyorum
bende aynısını düşünüp denemeye kalkmıştım sonuç hüsran :) keşke bu yöntem işe yarasa
clientlara domain varsa sertifika yüklemek basit ama workgroup çalışan yerler ve cep teller için tam başağrısı.

Squid de ssl filtrelemesinin hangi iç network'lere bakmasını istediğini seçebiliyorsunuz. ben mobil cihazların ve misafir cihazları farklı bir networkte toplayıp onlara layer 7 ve dns ile engeller koymayı düşünüyorum. bunlara çözüm üreterek ilerleyebiliriz bence

misafir networkunu squid dışında bırakabiliriz ama bu seferde loglardan misafirlerin hangi sitelere girdiğini vs. göremeyiz ve squidguard ile engelleme yapamayız. ama yinede geçici çözüm.

mikrotik'in $50 dolarlık cihazı layer 7 ssl filtrelemesi yapıyor dedin

mikrotik'in kullandığı sertifikayı clientlara import etmiyor musun? ya da nasıl çalışıyor… çalışıyorsa da sahte sertifika bahsettiğin yerlerde aynı sorunu çıkarmıyor mu ? merak ettim bunu.

mikrotik dinamik yada statik sertifika araya sokmuyor direk layer 7 ile engelliyor.
http://rbgeek.wordpress.com/2012/05/29/how-to-block-facebook-in-mikrotik-using-l7-protocols-layer-7/

traffic shaper'daki layer 7 pfsense'nin kendi protokolü ama squid ise ek bir paket biz ek paket ile ssl filtrelemesi yaptığımız için layer 7 https ye bakmıyor ama dediğin gibi pfsense'nin kendi başına başka paketlere ihtiyaç duymadan ssl filtrelemesi yapamaması çok kötü.

doğru mikrotikte ve bazı linux iptables kullanan firewalllar layer7 ile https trafiğini engelleyebiliyor ve sadece shell komutları ile ayar yapılabiliyor.

**çoğu utm app blocker paketi oluşturup engellemeleri oradan yapıyor pfsense te direk buna benzer sadece openid snort için geldi yeni versiyonda sid kuralları ile facebook engellenebiliyor ama oturup diğer uygulamalar içinde snort trafiğini dinleyip uygun kuralı oluşturmak lazım.

not:
Squid Custom settings

Custom ACLS (Before_Auth)

http_access allow localnet
always_direct allow all
ssl_bump server-first all

Custom ACLS (After_Auth)

always_direct allow all
ssl_bump server-first all

bu şekilde olursa daha stabil.**

ondokuz

Ellerin dert görmesin çok güzel bir yazı . Allah razı olsun.

hoscakal

@susamlicubuk:

Evet bahsettiğin sıkıntıları bende okudum ancak bunlar aşılabilecek şeyler olduğunu düşünüyorum.
Sahte sertifika yerine yıllık verisign comodo rapidssl den sertifika alıp bunu pfsense'ye import edip squid'in bu sertifikayı kullanmasını sağlarsak bu sorunların kalkacağını düşünüyorum
bende aynısını düşünüp denemeye kalkmıştım sonuç hüsran :) keşke bu yöntem işe yarasa
clientlara domain varsa sertifika yüklemek basit ama workgroup çalışan yerler ve cep teller için tam başağrısı.

Squid de ssl filtrelemesinin hangi iç network'lere bakmasını istediğini seçebiliyorsunuz. ben mobil cihazların ve misafir cihazları farklı bir networkte toplayıp onlara layer 7 ve dns ile engeller koymayı düşünüyorum. bunlara çözüm üreterek ilerleyebiliriz bence

misafir networkunu squid dışında bırakabiliriz ama bu seferde loglardan misafirlerin hangi sitelere girdiğini vs. göremeyiz ve squidguard ile engelleme yapamayız. ama yinede geçici çözüm.

mikrotik'in $50 dolarlık cihazı layer 7 ssl filtrelemesi yapıyor dedin

mikrotik'in kullandığı sertifikayı clientlara import etmiyor musun? ya da nasıl çalışıyor… çalışıyorsa da sahte sertifika bahsettiğin yerlerde aynı sorunu çıkarmıyor mu ? merak ettim bunu.

mikrotik dinamik yada statik sertifika araya sokmuyor direk layer 7 ile engelliyor.
http://rbgeek.wordpress.com/2012/05/29/how-to-block-facebook-in-mikrotik-using-l7-protocols-layer-7/

traffic shaper'daki layer 7 pfsense'nin kendi protokolü ama squid ise ek bir paket biz ek paket ile ssl filtrelemesi yaptığımız için layer 7 https ye bakmıyor ama dediğin gibi pfsense'nin kendi başına başka paketlere ihtiyaç duymadan ssl filtrelemesi yapamaması çok kötü.

doğru mikrotikte ve bazı linux iptables kullanan firewalllar layer7 ile https trafiğini engelleyebiliyor ve sadece shell komutları ile ayar yapılabiliyor.

**çoğu utm app blocker paketi oluşturup engellemeleri oradan yapıyor pfsense te direk buna benzer sadece openid snort için geldi yeni versiyonda sid kuralları ile facebook engellenebiliyor ama oturup diğer uygulamalar içinde snort trafiğini dinleyip uygun kuralı oluşturmak lazım.

not:
Squid Custom settings

Custom ACLS (Before_Auth)

http_access allow localnet
always_direct allow all
ssl_bump server-first all

Custom ACLS (After_Auth)

always_direct allow all
ssl_bump server-first all

bu şekilde olursa daha stabil.**

orjinal ssl'in çalışmayacağını aynı sorunların çıkacağını hiç tahmin etmemiştim. bir de kendim deneyeyim :)
evet kalabalık workgroup'larda bunu yapmak biraz zorlu kendimden örnek vereyim bende domain yok ama 50 tane pc belki bir o kadarda mobil cihaz var
tek yapacağım bunları ayırmak olacak 2 lan'a 1 kere de sertifikayı import ettiğim an tüm kontrol bende
bilgi işlemciler saçma sapan şeyler için bile tek tek bilgisayarları gezmiştir bu sefer de yararlı birşey için gezelim :)

misafir network ü ile söylediklerine katılmıyorum çünkü squid'i 2 lan'ı taraması için seçip ssl için sadece 1 lan seçebiliyorsun bu sayede misafir tarafındaki trafiği squid üzerinden izleyebilirsin.
lightsquid'den de nerelere girdiğini kayıtlı halde görebilirsin

microtic için verdiğin linke yapılan örneklerin hiçbirinde ssl yok yani http://www.facebook.com a bağlanmış
bağlandığı yerde görebilirsin ssl için gerekli olan sertifika adresin yanında gözükmüyor.
sadece layer7 için regex yazıp http://www.facebook.com u engellemiş bunu pfsense'de layer7 için regex yazıp bende engelleyebilirim.

yazımda da bahsetmiştim http bağlantıları için konuşuyorum her protokol için regex yazıp layer 7 ile engelleyebiliriz sadece header ya da request istekleri lazım bu kadar.

zaten mantıksız ssl paketi şifrelidir bunu açıp içindeki veriyi görmeden nasıl filtre yapacaksın ki ?

not: kısmını dikkate alacağım teşekkürler..

susamlicubuk

misafir network ü ile söylediklerine katılmıyorum çünkü squid'i 2 lan'ı taraması için seçip ssl için sadece 1 lan seçebiliyorsun bu sayede misafir tarafındaki trafiği squid üzerinden izleyebilirsin.
lightsquid'den de nerelere girdiğini kayıtlı halde görebilirsin
o seçeneği denememiştim ama haklısın çalışır muhtemelen.

microtic için verdiğin linke yapılan örneklerin hiçbirinde ssl yok yani http://www.facebook.com a bağlanmış
bağlandığı yerde görebilirsin ssl için gerekli olan sertifika adresin yanında gözükmüyor.
sadece layer7 için regex yazıp http://www.facebook.com u engellemiş bunu pfsense'de layer7 için regex yazıp bende engelleyebilirim.
gui den değil shellden yaptığımda birebir aynı kurallar geldi ve https://www.facebook.com ve youtube kesinlikle engelleniyor.
bırak block koymayı https/http sitelere direk hız limiti uyguladım
örneğin youtube download 512k facebook download 256k ve çok stabil çalışıyor.

direk stream yapan sitelere dizi izleme online film vs. stream için layer7 ile hız limiti uyguladım çok stabil.

ama bu kurallar işlemci ram e yükleniyor yani 128ramli 60$ lık cihazla defaultta 60-70 kullanıcı stabil çalışırken
sen hotspotu açıp bu kurallarla uğraşıp bide üstüne multiwan yaptıgın anda en fazla 25-30 kullanıcı destekler sonra sorun cıkartabiliyor.
kullanıcı sayısı ve kullanacağın paketlere göre üst seviye cihaz seçmen gerekiyor ama her halükarda daha ucuz çözüm.

aslında https leri url table ilede engellenebiliyor ama url table ile de çok uğraşmak gerekli.

bu arada system pacthes olmadan denediğinde sorun yaşıyor musun?

hoscakal

gui den değil shellden yaptığımda birebir aynı kurallar geldi ve https://www.facebook.com ve youtube kesinlikle engelleniyor.
bırak block koymayı https/http sitelere direk hız limiti uyguladım
örneğin youtube download 512k facebook download 256k ve çok stabil çalışıyor.

bunu yaptığında sanırım sayfanın hiç açılmamasını sağlıyorsun. doğrumu anlıyorum ? yaptığın bu ise zaten sorun yok bunu pfsense'de facebook dnslerini yazıp 443'ü 80 i yasakladığında da yapıyor.
ama benim dediğimde https://www.youtube.com a giriyor sadece videoyu açmıyor. ama hız limiti de güzel tam işkence olmuş :)

direk stream yapan sitelere dizi izleme online film vs. stream için layer7 ile hız limiti uyguladım çok stabil.

bunu ben 1,5 yıldır kullanıyorum nerdeyse pfsense'nin layer 7 si yetiyor bana

ama bu kurallar işlemci ram e yükleniyor yani 128ramli 60$ lık cihazla defaultta 60-70 kullanıcı stabil çalışırken
sen hotspotu açıp bu kurallarla uğraşıp bide üstüne multiwan yaptıgın anda en fazla 25-30 kullanıcı destekler sonra sorun cıkartabiliyor.
kullanıcı sayısı ve kullanacağın paketlere göre üst seviye cihaz seçmen gerekiyor ama her halükarda daha ucuz çözüm.

**pfsense sonuçta ücretsiz bir çok hizmeti sağlayabiliyor bu kadar komplex yapı varsa o zaman ücretini verip düzgün cihaz alırsın yani

ssl filtreleme multiwan loadbalance bilmem ne o bu hepsini kullanacaksan git başka cihaz al bu ucretsiz çözüm senin işine yaramıyor demek ki çokta abartmaya gerek yok :)**

bu arada system pacthes olmadan denediğinde sorun yaşıyor musun?

evet squid guard paketini ilk kurduğumda stopped halde geliyor bu patch 'i bir kere uygulayınca çalışması için yetiyor. ama bu 2.1.5'de geçerli önceki versiyonlarda sorun çıkmadan çalıştıranlarda var

technical

Bende bugün itibarı ile SSL i aktif ettim şu an tüm clientlere sertifikayı da yükledim sorun olup olmayacağına bakacam gelişmeleri başlık altından bildiririm.

Çalışma için çok teşekkürler.

technical

Geribildirim

Windows update servisi çakılıyor ayrıca windows etkinleştirme sistemleri de çakılıyor Sorun SSL den kaynaklı…

https://forum.pfsense.org/index.php?topic=68388.msg454915#msg454915
Çözüm updateler için var gibi test ediyorum ama etkinleştirmeler halen çakılıyor.

hoscakal

white list'e yazılan domainler sslden geçmiyor diye biliyorum acl yazmak yerine direk microsoft sitelerini whitelist'e alabiliriz. şimdi update olayını bende deneyeceğim

technical

Updateler için fix çalışıyor

Custom ACLS (Before_Auth) Kısmına aşağıdaki kodları girin

acl broken_sites dstdomain .update.microsoft.com
acl broken_sites dstdomain .ds.download.windowsupdate.com
acl broken_sites dstdomain .swupdl.adobe.com
acl broken_sites dstdomain .ccmdl.adobe.com
ssl_bump none broken_sites
http_access allow localnet
always_direct allow all
ssl_bump server-first all

Custom ACLS (After_Auth) Kısmına da aşağıdakileri girin

always_direct allow all
ssl_bump server-first all

tuzsuzdeli

@TechnicaL:

Updateler için fix çalışıyor

Custom ACLS (Before_Auth) Kısmına aşağıdaki kodları girin

acl broken_sites dstdomain .update.microsoft.com
acl broken_sites dstdomain .ds.download.windowsupdate.com
acl broken_sites dstdomain .swupdl.adobe.com
acl broken_sites dstdomain .ccmdl.adobe.com
ssl_bump none broken_sites
http_access allow localnet
always_direct allow all
ssl_bump server-first all

Custom ACLS (After_Auth) Kısmına da aşağıdakileri girin

always_direct allow all
ssl_bump server-first all

Peki, buralarda problem çıkmasının mantığı ne ?
Başka nerelerde sıkıntı yaşanabilir onu öngörmek için soruyorum.

hoscakal

microsoft'un nasıl bir server'ı varsa oda bizim içeriğine filtre koyduğumuz paketi okuyup bunun erişildiğini fark edip
update servisini vermiyor çünkü sayfasındaki hata kodunu araştırdığımda ssl sertifika hatası olarak gözüküyor belki rapid comodo ssl'li filtre'de sıkıntı çıkmayabilir ama belli de olmaz.. ayrıca bu sistemi kullanan yapan kaç yer olur bilemeyiz ama sorun yaşadığımız yerlerde update adresini acl olarak yazarak TechnicaL test etmiş updateler sorun çıkartmıyor bu da iyi haber geri kalanı sadece ihtiyacımız olan update adreslerini bulmak.

bu arada squid'in yaptığı ssl filtreleme sadece url'ler üzerinden

yani mplayer.swf(http://www,auauaua.com/stream) falan şekilde embed kodlarla çalışan yerleri yakalayamıyor çünkü erişimi tarayıcı değil flash dosyası yapıyor ve squid bunları okuyamıyor layer 7'de buna göre regex yazılması lazım ama layer 7 de https ye bakmıyor çok karmaşık durum hot spot shield zenmate vb gibi programların bağlantıları kontrol edilemiyor squid üzerinden

bununla ilgili olarak snort kurdum kurallarını inceliyorum programların erişimlerini tespit edebiliyor mu bunlara bakacağım team viewer için hem indirirken hem server'a ping atarken hem bağlantı kurulurken yakalamak için kuralları var ama yakalayıp ne yapıyor ya da bizim ne yapmamız lazım bunları inceleyip geri dönüş yapacağım

technical

@tuzsuzdeli:

Peki, buralarda problem çıkmasının mantığı ne ?
Başka nerelerde sıkıntı yaşanabilir onu öngörmek için soruyorum.

Burda sorun çıkmıyor sorun Aktivasyon web sitelerini eklediğinde çıkıyor squid servisi çakılıyor.

susamlicubuk

Windows Update lerle ilgili sorun yaşayanlar için squidden  bypass yapabilirsiniz.
technet update server ip konusu
https://social.technet.microsoft.com/Forums/windowsserver/en-US/b596aa81-2775-496c-b159-dcfc5c5bf22d/windows-update-ip-addresses-range-and-subnet-mask-for-windows-server-2008?forum=winserversecurity

ipler
65.0.0.1/8;70.0.0.1/8;94.0.0.1/8;111.0.0.1/8;132.0.0.1/8;157.0.0.1/8;207.0.0.1/8;213.0.0.1/8

mucip

Merhabalar,
PfSense 2.2 x64 üzerinde squid3-dev paketi görünmüyor. SSL filtrelemeyi nasıl yapacağız? Deneyen arkadaşımız var mı?…

Kolay gelsin,
Mucip:)

aykutadar

Merhabalar,

ilk önce anlatım için teşekkürler. pfsense 2.1.5 x64 üzerinde squid3-dev ve squidGuard-squid3 sistemime kurulu burada verilen tüm ayarları gerçekleştirdim gayet başarılı bir şekilde çalışıyor kısıtlamalarda yaptım ssl filtrelemeyide gerçkeliştirdim https siteleri başarılı bir şekilde çalışıyor. kısıtlı ve kısıtsız olarak kullanıcı grupları oluşturdum. kısıtsız grupdan olan kullanıcalara herşeyi eriyor ama torrent indirme işlemi yapmıyor. bunun neden kaynaklandığını çözemedim. bu konuda yardımcı olabilirmisiniz. bazı sitelerde sertifika hatasıda alınıyor mesela 100 site içerisinde 10 tanesinde bu uyarı veriyor. geçerli problemsiz bir sertifika nasıl oluşturulabilir. :(

kolay gelsin